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VERFAHREN UND VORRICHTUNG ZUR AUTHENTIFIZIERUNG EINES TEILNEHMERS 
FUR DIE INANSPRUCHNAHME VON DIENSTEN IN EINEM WIRELESS LAN (WLAN) 



Die Erf indung betrif ft ein Verfahren und eine Vorrichtung zur 
Authentif izierung eines Teilnehmers fur die Inahspruchnahme von 
Diensten in einem Wireless LAN (WLAN) unter Verwendung eines IP 
Multimedia Subsystems (IMS) eines Mobilf unknetzes . 

Aus der Zeitschrift Funkschau 09/2002 Seite 14-15 sind Verfahren 
zur Authentif izierung von WLAN Teilnehmern in einern 
Mobilfunknetz bekannt, namlich die Authentif izierung uber einen 
NAI (Network Access Identifier) und wahlweise uber eine SIM- 
Karte, sowie die Authentif izierung mit dem IPv6 (Internet 
Protocol Version 6) und einem sogenannten SIM-6 Mechanismus. Im 
allgemeinen wird eine Authentif ikation eines Wireless LAN 
Teilnehmers uber ein HTTP Protokoll realisiert. 

Aufgabe der vorliegenden Erf indung ist es, einen Teilnehmer 
eines Wireless LANs, der auch Teilnehmer eines Mobilf unknetzes 
ist, bei der Inanspruchnahme von Diensten in einem 
Mobilf unknetzwerk effizient zu authentif izieren. 

Die Aufgabe wird erf indungsgemaS durch die Gegenstande der 
unabhangigen Patentanspruche bezuglich des Verfahrens und der 
Vorrichtung gelost . Weiterbildungen der Erf indung sind in den 
Unter anspruchen angegeben. Die erf indungsgemaSe 
Authentif izierung unter Verwendung eines IP Multimedia 
Subsystems hat den Vorteil, dass die Authentif izierung eines 
Teilnehmers fur beliebige Dienste, die uber das Wireless LAN 
erreicht werden konnen ohne der Installation eines separaten 
Servers fur die Authentif izierung im Wireless LAN und ohne 
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separater Verbindung zu eindr entsprechenden Instanz im 
Mobilfunknetz (z. B. HLR/HSS) , die mittels einer eigens dafur 
vorgesehenen Verbindung (Schnittstelle) kontaktiert werden muss, 
durchgefuhrt wird. 

Die Erf indung wird anhand eines in Figuren dargestellten 
Ausfuhrungsbeispiels naher erlautert. Im einzelnen zeigen 

Figur 1 die Architektur mit den Schnittstellen zwischen eines 

Wireless LAN und einem IP Multimedia Subsystem (IMS) 
Figur 2 wie das WAGW das Authentif izierungsergebnis unter 

Verwendung eines eigenen P-CSCF/Policy Control Funktion 

am Ort mit WLAN Abdeckung erhalt 
Figur 3 wie das WAGW das Authentif izierungsergebnis durch die 

CSCF/Policy Control Funktion des IP Multimedia 

Subsystem (IMS) erhalt 
Figur 4 wie das WAGW durch erweiterte Funktionalitaten das 

Authentif izierungsergebnis in Erfahrung bringt 

Figur 1 zeigt, wie das Wireless LAN mit einem IP Multimedia 
Subsystem (IMS) (3) verbunden ist. Ein Teilnehmer MT (6) eines 
Wireless LANs (10) ist uber eine Luf tschnittstelle (11) mit dem 
Wireless LAN an einem Ort mit Wireless LAN Abdeckung (Hot spot) 
verbunden. Fur die Authentf izierung erhalt der MT (6) vom Proxy 
Call State Control Funktion Knoten (P-CSCF) . (1) eine IP Adresse 
(z. B. durch DHCP). Der Teilnehmer MT (6) kann sich damit selbst 
mittels SIP Registrierung im IMS (3) ohne eine prior bearer 
level Authentif ikat ion (z. B. H/2, Authentif ikat ion uber die ^ 
Luf tschnittstelle ist optional) authentif izieren. Im IMS (3) 
geschieht die Authentif ikat ion applikationsseitig im Call State 
Control Funktion Knoten (CSCF) (4) uber eine SIP 

Registrierungsnachricht . Durch die Authentif ikation wird dem MT 
(6) der Zugang zu spezifischen Profilen (z. B. WLAN - Profile) 
gewahrt. Der CSCF (4) benutzt eine an sich fur das IMS (3), aber 
nicht fur ein WLAN (10) 
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bekannte Authentif izierung ntittels des Home Subscriber System 
(HSS) (5) uber die Cx Schnittstelle. Der P-CSCF (1) des WLANs 
(10) erhalt das Ergebnis der Authentif izierung uber eine SIP 
Registrierungsanfrage (z. B. 200 OK) . Dieses Ergebnis wird dem 
WLAN Access Gateway (WAGW) (2) ubergeben. Das WAGW (2) 
kontrolliert den Zugang zu Diensten und uberwacht die 
erfolgreiche Authentif izierung im IMS (3) . Das Wireless LAN (10) 
wird mit der Gi Schnittstelle oder der Mm Schnittstelle mit dem 
IMS (3) verbunden. Die Gi Schnittstelle stellt eine 
Schnittstelle innerhalb des IP Netzwerks (7) dar und unterliegt 
somit besonderen Sicherheitsvorkehrungen. Berucksichtigt werden 
auch die geografische Entfernung zwischen dem IMS (3) und dem 
Ort mit der WLAN Abdeckung. Bei der Mm Schnittstelle besteht die 
Verbindung zwischen dem IMS (3) und dem Ort mit der WLAN 
Abdeckung (Hotspot) uber ein IP Multimedia Netzwerk (Internet) 
(8) . 

Die Authentif izierung eines MT (6) im IMS (3) erfolgt unter 
Verwendung des SIP Protokolls. Das Ergebnis der 
Authentif izierung im IMS (3) wird dem WAGW (2) zugef uhrt . 
Hierfur gibt es drei Moglichkeiten, die unter Figur 2, Figur 3 
und Figur 4 beschrieben sind. 

Figur 2 zeigt, wie das WAGW (2) das Authentif izierungsergebnis 
durch eine eigene P-CSCF (1) /Policy Kontroll Funktion an dem Ort 
mit WLAN Abdeckung (Hotspot) erhalt- In diesem Fall ist das WLAN 
(10) mit einer eigenen P-CSCF (1) ausgestattet , welche dazu 
dient, SIP Nachrichten an die entsprechende Instanz im IMS (3) 
weiterzuleiten (SIP Registrierungsanfrage) und das WAGW (2) 
entsprechend dem Authentif izierungsergebnisses des IP Multimedia 
Subsystems (IMS) (SIP Antwort) zu steuern. Der P-CSCF (1) 
kommuniziert mit dem CSCF (4) im IP Multimedia Subsystem uber 
eine Gi Schnittstelle oder eine Mm Schnittstelle (uber Internet 
(8)). Die P-CSCF (1) gibt dem WAGW (2), basierend auf dem 
Ergebnis 
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der Authentif izierung (SIP Registrierung) im IMS (3), 
Anweisungen, wie der Datenverkehr eines MT (6) durch das WAGW 
(2) zu behandeln ist. So kann das WAGW (2) den Datenfluss z. B. 
blockieren. Mitt els der Policy Control Funktion kontrolliert die 
P-CSCF (1) den Datenverkehr durch das WAGW (2) und kann die 
Quantitat und Qualitat des Datenflusses eines MT (6) durch das 
WAGW (2) gewahren, beschranken, erhohen oder ablehnen. Dieser 
Mechanismus ist dem der Go Schnittstelle nachgeahmt, die 
zwischen dem P-CSCF des IMS (3) und dem Gateway GPRS Support 
Knoten (GGSN) (9) installiert ist. Diese Policy Control Funktion 
kann Bestandteil des P-CSCF (1) sein oder aber auch eine eigene 
Einheit darstellen, die optional fur das IP Multimedia Subsystem 
und die PS Domaine mitverwendet werden kann. 

Ein mogliches Policy Protokoll stellt COPS (RFC 2748, angewendet 
fur die Go Schnittstelle) dar. Die Go Schnittstelle verwendet 
einen IP Transport und daher wird bei der Implement ierung eine 
gesicherte Ubertragung der COPS Nachrichten innerhalb des 
Wireless LAN oder eine separate (abgeschottet vom Datenverkehr 
der Teilnehmer innerhalb des Wireless LAN) Verbindung zwischen 
P-CSCF (1) und WAGW (2) installiert. 

Figur 3 zeigt, wie das WAGW (2) das Ergebnis der IMS 
Authentif izierung von dem CSCF (4) des IMS (3) mitgeteilt 
bekommt. Die CSCF (4) des IMS (3) steuert das WAGW (2) 
dahingehend, dass es Policy Funktionalitat ausubt . Hier ubt 
jedoch die P-CSCF des IMS (3) die Steue rung des WAGW (2) aus, 
anstatt eine separate P-CSCF im Wireless LAN. 

Mittels der Policy Funktionalitat kontrolliert die P-CSCF des 
IMS (3) den Datenverkehr durch das WAGW (2) und kann die 
Quantitat und Qualitat des Datenflusses des MT (6) durch das 
WAGW (2) gewahren, beschranken, erhohen oder ablehnen. Dieser 
Mechanismus ist dem der Go Schnittstelle nachgeahmt, die 
zwischen P-CSCF des IMS (3) und dem GGSN (9) der PS Domaine 
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installiert ist. Zwischen detn CSCF (4) des IMS (3) und dem WAGW 
(2) des Wireless LANs (10) wird zur gesicherten Datenubertragung 
eine Go Schnittstelle installiert. Das WAGW (2) kann die SIP 
Nachrichten, die das Authentif izierungsergebnis enthalten uber 
die Gi Schnittstelle oder uber die Mm Schnittstelle an die CSCF 
(4) im IMS (3) senden. 

Figur 4 zeigt, wie das WAGW (2) das Authentif izierungsergebnis 
selbst auswertet. Das WAGW (2) erhalt das Ergebnis, das angibt, 
ob eine Authentif izierung des MT (6) im IMS (3) stattfand und 
welches das Ergebnis dieser ist. AnschlieSend setzt das WAGW 
(2) das Ergebnis urn, indem es Teilnehmerdaten vollstandig oder 
eingeschrankt passieren lasst . Wird das WAGW (2) mit einer Gi 
Schnittstelle ausgestattet , so kann es 

Authentifizierungsnachrichten (SIP Registrierung) uber diese an 
die CSCF (4) im IMS (3) senden. Ansonsten wird dafur die Mm 
Schnittstelle verwendet . Damit das WAGW (2) das Ergebnis der 
Authentif izierung (SIP Nachrichten) auswerten kann, wird es in 
Form eines ^Application Layer Gateways w realisiert. Somit kann 
es das Ergebnis einer SIP Authentif izierung ohne die 
Zuhilfenahme einer CSCF (4) entsprechend umsetzen. Das WAGW (2) 
untersucht hierfur die Datenpakete auf SIP Nachrichten 
(Registrierungsanfragen und -antworten) und interpretiert die 
SIP Registrierungsantworten entsprechend fur die Filterung von 
Teilnehmerdaten. Damit nicht jedes Datenpaket vom WAGW (2) 
geoffnet werden muss, kann ein Ausscheidungsprozess auf OSI 
Layer 3 (IP Adresse) oder OSI Layer 4 (Portnummer) durchgefuhrt 
werden. Damit ist eine IP Adresse, eine Portnummer oder 
sonstiges Ausscheidungskriterium ein Anlass dafur, ob ein 
Datenpaket oder ein Datagram an den nachst hoheren OSI Layer 
weitergereicht wird, oder ob es das WAGW (2) passieren kann. 



ERSATZBLATT (REGEL 26) 



WO 03/105436 PCT/EP02/06269 

6 

Pat ent ansp ruche 

1. Verfahren zur Authentif izierung eines Teilnehmers MT (6) fur 
die Inanspruchnahme von Diensten in einem Wireless LAN 
(WLAN) (10) unter Verwenciung eines IP Multimedia Subsystems 
(IMS) (3), 

dadurch gekennzeichnet, 

dass ein zu authentif izierender Teilnehmer MT (6) , der sich 
an einem Ort mit WLAN-Abdeckung befindet, vom WLAN (10) eine 
IP-Adresse zugewiesen bekommt, worauf er sich gegenuber dem 
IP Multimedia Subsystem (3) unter Angabe dieser IP-Adresse 
authentif iziert, wobei ein Element (WAGW (2)) des WLAN (10) 
vom Ergebnis der Authentif izierung des Teilnehmers MT (6) 
gegenuber dem IMS (3) informiert wird. 

2 • Verfahren nach Anspruch 1 

dadurch gekennzeichnet, 

dass die Authentif izierung eines Teilnehmers MT (6) eines 
Wireless LAN (WLAN) unter Verwendung eines IP Multimedia 
Subsystems (IMS) (3) eines Mobilf unknetzes geschieht. 

3 . Verfahren nach einem der vorhergehenden Anspriiche 

dadurch gekennzeichnet , 

dass die Authentif izierung eines Teilnehmers MT (6) eines 
Wireless LAN (WLAN) (10) in einem IP Multimedia Subsystem 
(3) unter Verwendung eines Offline Home Subscriber System 
(HSS) (5) geschieht. 

4. Verfahren nach einem der vorhergehenden Anspruche 
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dadurch gekennzeichnet, 

dass die Authentif izierung eines Teilnehmers MT (6) in einem 
Wireless LAN (WLAN) (10) in einem IP Multimedia Subsystem 
(3) unter Verwendung eines Authentif izierungs servers (AAA 
Server) geschieht . 

. Verfahren nach einem der vorhergehenden Anspruche 
dadurch gekennzeichnet, 

dass die Schlussel (Ki) unter deren Nutzung sich der 
Teilnehmer MT (6) im mobilen Kommunikationsnetzwerk 
authentif ziert auch zur Authentif izierung im Wireless LAN 
(WLAN) (10) verwendet werden. 

. Verfahren nach einem der vorhergehenden Anspruche, 

dadurch gekennzeichnet, 

dass der Teilnehmer MT (6) uber das Wireless LAN (10) eine 
SIP Register Nachricht an eine Einrichtung (CSCF) (4) des 
IMS (3) sendet, die eine Aufforderung zur Authentif izierung 
dieses IP Multimedia Subsystem (IMS) Teilnehmers unter 
Verwendung der fur eine IP Multimedia Subsystem (IMS) - 
Authentif izierung vorgesehenen Mechanismen an das Home 
Subscriber System (HSS) (5) sendet, worauf das Home 
Subscriber System (HSS) (5) den Teilnehmer MT (6) unter 
Verwendung dieser Mechanismen authentif i ziert "and das 
Ergebnis der Authentif izierung dem Wireless LAN Access 
Gateway (WAGW) (2) mitteilt . 

. Verfahren nach einem der vorhergehenden Anspruche, 
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dass zum Senden und Empfangen uber die Luf tschnittstelle 
zwischen Teilnehmer MT (6) und Wireless LAN (WLAN) (10) eine 
Assoziation zwischen dem Teilnehmerendgerat MT (6) und dem 
Wireless LAN (WLAN) (10) durchgefuhrt wird. 

Verfahren nach einem der vorhergehenden Anspruche, 

dadurch gekennzeichnet, 

dass das Teilnehmerendgerat MT (6) eine IP Adresse aus dem 
Adressraum des Wireless LAN (10) erhalt, mit der es, neben 
alien anderen IP-Transport basierten Daten, SIP Nachrichten 
senden und empfangen kann, die Authentif izierungs'nachrichten 
von und zum IP Multimedia Subsystem (IMS) (3) 
transport ieren. 

. Verfahren nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dass der Zugang zu Diensten uber ein Wireless LAN Access 
Gateway (WAGW) (2) kontrolliert wird, das die erfolgreiche 
Authentifizierung im IP Multimedia Subsystem (IMS) (3) 
uberwacht . 

0 . Verfahren nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dass das Wireless LAN (WLAN) (10) uber eine Gi Schnittstelle 
mit dem IP Multimedia Subsystem (IMS) (3) verbunden wird. 

1 . Verfahren nach einem der vorhergehenden Anspruche, 
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dadurch gekennzeichnet , 

dass das Wireless LAN (WLAN) (10) uber eine Mm Schnittstelle 
mit dem IP Multimedia Subsystem (IMS) (3) verbunden wird. 

12. Verfahren nach einem der vorhergehenden Anspruche, 
dadurch gekennze ichnet , 

dass das Ergebnis der Authentif izierung dem Wireless LAN 
Access Gateway (WAGW) (2) durch eine P-CSCF (1) (Proxy-Call 
State Kontroll Funktion) /Policy Control Funktion an einem 
Ort mit WLAN-Abdeckung (Hot spot) zugefiihrt wird. 

13. Verfahren nach Anspruch 9, 
dadurch gekennzeichnet, 

dass das Wireless LAN (WLAN) (10) einen Proxy-Call State 
Control Funktion Knoten (P-CSCF) (1) besitzt, der die SIP 
Nachrichten an die entsprechende Instanz im IP Multimedia 
Subsystem (SIP Anfrage) weiterleitet und das WLAN Access 
Gateway (WAGW) (2) hinsichtlich des 

Authentif izierungsergebnisses (SIP Antwort) des IP 
Multimedia Subsystem (IMS) (3) steuert. 

14 . Verfahren nach Anspruch 9 , 

dadurch gekennzeichnet , 

dass dem WLAN Access Gateway (WAGW) (2) aufgrund des 
Ergebnisses der Authentif izierung im IP Multimedia 
Subsystems (3) Anweisungen gegeben werden, wie der 
Datenverkehr eines Teilnehmers MT (6) durch das WLAN Access 
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Gateway (WAGW) (2) zu behandeln ist insbesondere Anweisungen 
betreffend das Blockieren des Datenverkehrs. 

15. Verfahren nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dass die Proxy-Call State Control Funktion (P-CSCF) (1) 
mittels einer Policy Kontroll Funktion den Datenverkehr 
durch das WLAN Access Gateway (WAGW) (2) kontrolliert und 
die Quantitat und oder die Qualitat des Datenflusses eines 
Teilnehmers MT (6) durch das WLAN Access Gateway (WAGW) (2) 
gewahrt, beschrankt, erhoht oder ablehnt . 

16. Verfahren nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dass die Policy Kontroll Funktion Bestandteil des Proxy-Call 
State Control Funktion Knoten (P-CSCF) (1) ist oder eine 
eigene Einheit darstellt. 

17. Verfahren nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dass das Ergebnis der Authentif izierung dem Wireless LAN 
Access Gateway (WAGW) (2) durch die CSCF (Call State Control 
Function) (4) /Policy Kontroll Funktion im IP Multimedia 
Subsystem (IMS) (3) zugefuhrt wird. 

18. Verfahren nach Anspruch 14, 
dadurch gekennzeichnet, 



ERSATZBLATT (REGEL 26) 



WO 03/105436 PCT/EP02/06269 

11 

dass der Call State Control Funktion Knoten (CSCF) (4) des 
IP Multimedia Subsystem (3) .das WLAN Access Gateway (WAGW) 
(2) hinsichtlich des Authentif izierungsergebnisses des IP 
Multimedia Subsystems (3) steuert . 



19. Verfahren nach Anspruch 15, 
dadurch gekennzei chnet , 



dass die Proxy-Call State Control Funktion (P-CSCF) (1) 
mittels einer Policy Kontroll Funktion den Datenverkehr 
durch das WLAN Access Gateway (WAGW) (2) kontrolliert und 
die Quantitat und oder die Qualitat des Datenflusses eines 
Teilnehmers MT (6) durch das WLAN Access Gateway (WAGW) (2) 
gewahrt, beschrankt, erhoht oder abgelehnt wird. 

20. Verfahren nach Anspruch 15, 
dadurch gekennzei chnet, 

dass eine Go Schnittstelle zwischen dem Call State Control 
Funktion Knoten (CSCF) (4) des IP Multimedia Subsystems (3) 
und dem WLAN Access Gateway (WAGW) (2) installiert wird fur 
eine gesicherte Datenubertragung. 

21. Verfahren nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dass durch erweiterte Funktionalitaten im Wireless LAN 
Access Gateway (WAGW) (2) das Authentif izierungsergebnis 
ausgewertet wird. 



22. Verfahren nach Anspruch 18, 
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dadurch gekennzeichnet, 

dass das vom IP Multimedia Subsystem (IMS) (3) erhaltene 
Authentif izierungsergebnis vom WLAN Access Gateway (2) 
umgesetzt wird, indem es (2) Teilnehmerdaten vollstandig 
oder eingeschrankt passieren lasst. 

23. Verfahren nach Anspruch 19, 
dadurch gekennzeichnet , 

dass die Auswertung des Authentif izierungsergebnisses (SIP 
Nachrichten) mit einem ^Application Layer Gateway" 
realisiert wird. 

24. Verfahren nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, 

dass der Teilnehmer MT (6) des Wireless LAN" (WLAN) (10) auch 
ein Teilnehmer des mobilen Kommunikationsnetzwerks ist. 

25. Verfahren nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dass das Wireless LAN Netzwerk (WLAN) in mobile 
Kommunikationsnetzwerke mit Hilfe von ETSI HiperLan und IEEE 
802.11 integriert wird. 

26. Vorrichtung zur Authentif izierung eines Teilnehmers MT (6) 
fur die Inanspruchnahme von Diensten in einem Wireless LAN 
(WLAN) (10) mit Hilfe eines IP Multimedia Subsystems (IMS) 
(3) , 
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dass eine Einrichtung Proxy Call State Control Funktion 
Knoten (1) mittels der Policy Kontroll Funktion ein von 
einem IP Multimedia Subsystem die so ausgebildet ist, dass 
ein erhaltenes Authentif izierungsergebnis ausgewertet und 
damit die Quantitat und oder die Qualitat des Datenflusses 
durch das WIAN Access Gateway (2) eines Teilnehmers MT (6) 
gewahrt, beschrankt, erhoht oder abgelehnt wird. 

27. Vorrichtung nach Anspruch 23, 
dadurch gekennzeichnet , 

dass die Einrichtung Proxy Call State Control Funktion 
Knoten (1) ein Knoten im WLAN (10) ist. 

28. Vorrichtung nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dass die Einrichtung Proxy Call Control Funktion Knoten (1) 
des IP Multimedia Subsystems (3) fur die Steuerung der 
Authentif izierung im WIAN (10) vorgesehen ist. 

29. Vorrichtung nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dass das WLAN Access Gateway (2) eine Einrichtung besitzt, 
die so ausgebildet ist, dass sie das 

Authentif izierungsergebnis, welches vom IP Multimedia 
Subsystem (3) erhalten wird, umsetzt, indem diese 
Einrichtung Teilnehmerdaten vollstandig oder eingeschrankt 
passieren lasst . 
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2. Anspruche: 26-29 

DatenfluBkontrolle 1n einem Wireless LAN 



V 



